目前，越來越多的網(wǎng)站運(yùn)營者都采用了HTTPS，這樣很快就會導(dǎo)致瀏覽器將HTTP網(wǎng)頁默認(rèn)標(biāo)記為不安全。

就比如，目前火狐瀏覽器Firefox Nightly（v59）包含一個(gè)秘密配置項(xiàng)，一旦被激活，就會顯示一個(gè)可見的指示標(biāo)，來表示當(dāng)前的頁面不安全。在一般的瀏覽器中，如果是HTTPS的頁面，會采用一個(gè)鎖狀標(biāo)志來表示安全。而在火狐瀏覽器Firfox現(xiàn)在的形式中，通過添加一條紅色的斜線來表示HTTP頁面不安全。

Mozilla軟件工程師Richard Barnes表示，HTTPS部署已經(jīng)開始取得一些進(jìn)展，我們也應(yīng)該開始準(zhǔn)備將不安全的頁面標(biāo)記為不安全，同時(shí)將安全的頁面標(biāo)記為安全。

其實(shí)，去年Barnes就已經(jīng)在一項(xiàng)功能需求中提到，作為第一步，我們?yōu)樗胁话踩捻撁嫣砑右粋€(gè)負(fù)面的標(biāo)記，當(dāng)然，這項(xiàng)設(shè)置默認(rèn)情況下是關(guān)閉的。

Firefox Nightly 59版本中可以找到該隱藏設(shè)置

Mozilla批準(zhǔn)了Barnes的請求，F(xiàn)irefox Nightly 59版本中包含一個(gè)名為“ security.insecure_connection_icon.enabled ” 的隱藏首選項(xiàng)，啟用后將在所有HTTP頁面上顯示上述刪除線鎖定圖標(biāo)。

要啟用這項(xiàng)功能，需要在導(dǎo)航欄中輸入“about:config”進(jìn)入設(shè)置部分，然后搜索“security.insecure_connection_icon.enabled”，右鍵修改或者直接雙擊就可啟用。

自從去年Barnes提出需求之后，網(wǎng)站采用HTTPS的趨勢明顯上升。據(jù)Let’s Encrypt數(shù)據(jù)顯示，2017年11月，F(xiàn)irefox加載的網(wǎng)頁中有67％使用HTTPS，而去年年底只有45％。

目前，大多數(shù)安全專家和UI設(shè)計(jì)師覺得，當(dāng)用戶使用HTTP頁面時(shí)，如果網(wǎng)站會顯示永久性警告，這是不利的，這可能會導(dǎo)致一種稱為“錯誤疲勞”的情況，使得用戶對這些警告失去了知覺。

因?yàn)楝F(xiàn)如今的情況是，仍然有大量確實(shí)安全可信的網(wǎng)站是沒有采用HTTPS的，這樣來說，F(xiàn)irefox的這項(xiàng)措施則會盲目的標(biāo)記為不安全，導(dǎo)致這項(xiàng)設(shè)置失去用戶的信任。

但是，Barnes指出，如果HTTPS采用率進(jìn)一步上升，那么在非HTTPS站點(diǎn)上顯示“不安全”警告可能會被接受，因?yàn)檫@些錯誤顯示比幾年前還要少。

在一兩年內(nèi)，我們可能會看到所有的瀏覽器都采用一種方案，如果一個(gè)站點(diǎn)通過HTTP加載，就會顯示警告。

目前，沒有瀏覽器顯示這樣的錯誤。例如，只有當(dāng)用戶嘗試一個(gè)頁面或通過信用卡/借記卡付款時(shí)，F(xiàn)irefox和Chrome瀏覽器才會在HTTP網(wǎng)站上顯示警告。每個(gè)瀏覽器執(zhí)行這種措施的標(biāo)準(zhǔn)是不同的。Firefox在表單字段中直接顯示警告，而Chrome 在URL地址欄中顯示“不安全”文本提示。最近，谷歌還決定對所有通過Chrome瀏覽器隱私瀏覽模式加載的HTTP頁面顯示永久的“不安全”警告。

*參考來源：BleepingComputer，F(xiàn)B小編Andy編譯，轉(zhuǎn)載請注明來自FreeBuf.COM